Все просто - AVZ Guard не успевает активироваться. Если в таймере задать время порядка 500 мс, то подобный фокус не пройдет. Руткит-маскировку процесса AVZ делать не нужно - AVZ Guard по сути и есть руткит.Сообщение от Dream Worker
-----------
Итак, грядет выход v4.15. Предлагаю подитожить пожелания (поиск национальных символов и вывод предупреждения уже сделан).
Последний раз редактировалось Зайцев Олег; 25.04.2006 в 15:50.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Я восстановил - тема по сути и так на 50% флейм, чистить ее смысла нет, под новую версию я новую заведу, а эту прибъем.
Версия 4.15, это очепятка. Антикейлоггер там однозначно будет.
Да народ уже просто соскучился... давно ждет новой версии...
http://sources.h11.ru/soft/instruments/index.html
-набор полу-хакерских инструментов какого-то чела.
Если запустить сперва Instruments, потом AVZ, потом включить
AVZGuard, то из Instruments прибить AVZ.exe все равно можно. (останется работать AVZGuard -> перегружаться)
Олег, а на вопросы (выше) ответить можно?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Да, есть такое дело, и это известно уже практически с самого первого дня появления AVZGuard (смотрите старые посты в этой теме). AVZ в любом режиме работы (даже с включенным AVZGuard) легко убивается даже через обычный Task Manager.
PS. Мой вам совет - бросьте вы эту затею с убиением AVZ. Пока что в AVZ нет надежных механизмов самозащиты (и, по всей видимости, в ближайшее время не появится), так что убить его не представляет никакого труда даже "начинающему программисту"!
Вот именно. AVZGuard расчитан на противодействие троянам - т.е. известно не менее 50 методов прибить процесс, но в реальность подавляющее большинство троянов применяют OpenProcess/TerminateProcess и маниакально бороться с другими методами мне пока лень, я давлю по факту.
Можно - их сначало заметить нужно, я почистил пару листов флейма.Олег, а на вопросы (выше) ответить можно?
1. Можно, прямо сейчас прикручу, чтобы не забыть
2. Пока в стадии рассмотрения.
Последний раз редактировалось Зайцев Олег; 26.04.2006 в 15:10.
Вчера после проведения проверки на чистой системе AVZGuard уронил всё
Выдержка из БСОДа:
avzsg.sys
DRIVER_UNLOADED_WHITHOUT_CANCELLING_PENDING_OPERTA TIONS
Stop: 0x000000CE (0xF7BF730C,0, 0xF7BF730C, 0)
Последовательность примерно такая: запустил AVZ, активировал guard, проверил процессы и cистемные каталоги, запустил доверенный cmd.exe, запускал там то ли ping, то ли trace (т.к. при этом был подключен к инету и присписчило что-то проверить, а запущенный до AVZ ФАР обломалСЯ с запуском), попытался закрыть avz, остановил guard, попытался закрыть avz (cmd остался), пролучил БСОД.
XP SP2 rus (с обновлениями по март, если это важно)
Да, и чтобы "не забыть", еще и это:
1) избавиться от загрузки драйвера avz.sys в пользу одного единственного avzg.sys - ты говорил, что сделаешь это обязательно;
2) сделать загрузку драйвера без SCM (я так понял по твоим словам, что это уже практически сделано).
И еще... Может, все же сделаешь кнопку "Пауза" на сканировании файлов (я уже понял тщетность моих просьб насчет выделения GUI в отдельный поток и избавления от модальных окон - я так понял, что тот Дельфи, на котором ты пишешь AVZ, вообще не может нормально работать с несколькими потоками)? Но хоть "Паузу"-то можно как-то реализовать? Это даже и не моя просьба - об этом уже просит буквально каждый из тех, кому я показываю твою утилиту.
А антивирусный монитор есть (т.е. AVZ показывает перехваты режима ядра без включения Guard) ? И второе уточнение - тип процессора (1 или 2 штуки и есть ли HT).Вчера после проведения проверки на чистой системе AVZGuard уронил всё
Выдержка из БСОДа:
avzsg.sys
DRIVER_UNLOADED_WHITHOUT_CANCELLING_PENDING_OPERTA TIONS
Stop: 0x000000CE (0xF7BF730C,0, 0xF7BF730C, 0)
Последовательность примерно такая: запустил AVZ, активировал guard, проверил процессы и cистемные каталоги, запустил доверенный cmd.exe, запускал там то ли ping, то ли trace (т.к. при этом был подключен к инету и присписчило что-то проверить, а запущенный до AVZ ФАР обломалСЯ с запуском), попытался закрыть avz, остановил guard, попытался закрыть avz (cmd остался), пролучил БСОД.
XP SP2 rus (с обновлениями по март, если это важно)
А если вы повторите описанную последовательность действий, AVZ снова завалит систему? Попробуйте, если не сложно.Вчера после проведения проверки на чистой системе AVZGuard уронил всё
...
Также, если есть минидамп, закиньте его, пожалуйста, сюда.
Не думаю, что в этом может быть проблема... По крайней мере, у меня HT - таких "завалов" ни разу не было.
Просто что-то осталось в пендинге... бывает.
А что касается многопоточности, то в Дельфи с этим вроде как ок все.
Да я тоже всегда так думал, но, видимо, не все так просто. В общем, я толком не знаю - но Олег говорит, что там много глюков с этими делами.
Надо грамотно синхронизировать потоки и все будет ок. Мои знакомые на дельфи пишут обалденные промышленные мультитред-сервисы, например. Но это уже снова оффтоп.
Повторный эксперимент - попытка вызвать BSOD - успехом не увенчался.
Вот логи с гардом и без него.
avz_log2.txt
avz_log3.txt
Проц - P4 2.8 БЕЗ HT.
В системе установлен Symantec corp 9.0. с прошлого раза его базы не обновлялись.
AVZ запускался оба раза с flash-драйва.
хотя, что толку, всё равно BSODа нет...
Последний раз редактировалось UFANych; 28.04.2006 в 23:05.
Ну, значит ошибка скорее всего "плавающая" - такие воспроизвести и устранить тяжелее всего.
Так как же все-таки насчет минидампа - он у вас есть или нет? Если нет, то советую вам установить соответствующую опцию - тогда следующий раз в случае падения будет хоть какой-то предмет для исследования.
не думал, что минидамп понадобится... потому и нету
теперь везде ставить буду!
Интересненькое...
Преамбула:
Рубился сегодня в "Линейку" (LineAge 2). C4 клиент с офф. сайта (тот который с GameGuard) Сервак в очередной раз отвалился, а клиент висит.
Амбула:
Через taskman убить не получилось (доступ запрещен) - работа Gameguard-a. Дай думаю через AVZ, не получилось... менеджер процессов отваливается, так как системная функция перхвачена GameGuard-ом. Пустил нейтрализацию руткитов... результат отрицательный. Во вложениях логи:
avz_km_log - Kernel Mode востановление
avz_um_log - User Mode востановление
avz_taskman_log - ошибка при открытии менеджера процессов
Вдогонку,
Если запустить проверку памяти (с противодействием руткитам или без), то AVZ вываливается после:
2. Проверка памяти
Количество найденных процессов: 22
[DEBUG]>Scan proc C:\WINDOWS\system32\smss.exe
[DEBUG]>Scan proc c:\windows\system32\csrss.exe
[DEBUG]>Scan proc c:\windows\system32\winlogon.exe
[DEBUG]>Scan proc c:\windows\system32\services.exe
[DEBUG]>Scan proc c:\windows\system32\lsass.exe
[DEBUG]>Scan proc c:\windows\system32\svchost.exe
....
[DEBUG]>Scan proc d:\l2c4\system\l2.exe
[DEBUG]>Scan proc c:\windows\system32\taskmgr.exe
[DEBUG]>Scan proc c:\program files\mozilla firefox\firefox.exe
[DEBUG]>Scan proc d:\distrib\av\avz4\avz.exe
[DEBUG]>Scan hidden process
Сканирование длилось 00:00:02
а дальше Эксемшен см вложением
С уважением,
Последний раз редактировалось Dandy; 03.05.2006 в 00:37.
Ваши права в разделе
